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(57) Abstract: The invention 
is based on the finding that 
the grouping of individually 
addressable units of a memory 
(12) into groups or pages (12a) 
already present in many systems 
can be used for substantially 
reducing the complexity of the 
address-dependent key generation 
while only insubstantially 
decreasing security, if a page 
pre-key is calculated (36) on the 
basis of a page address (30a) and 
the individual key is determined 
on the basis of the page pre-key 
and the word address (30b). As a 
result, the address -dependent key 
generation can be split up into a 
cryptographically demanding and 
relatively time-consuming process 
to be carried out rarely, namely 
page pre-key generation (34), and 
a fast step (36) of virmally low 
technical complexity which has 
to be carried out for every word or 
every individually addressable unit 
(12b), namely determination of the 
individual key on the basis of the 
page pre-key and the word address 
(30b). 



[Fortsetzung auf der nUchsten Seite) 



wo 2005/043396 A2 liililllllllllillllllHIIilllilllllllllllllllillli^ 



GB, GD, GH, GH, GM, HR, HU, ID, IL. IN, IS, JP, KE. 
KG, KP. KR, KZ, LC, LK, LR, LS, LT, LU, LV, MA, MD, 
MG, MK, MN, MW, MX, MZ, NA, M, NO, NZ, OM, PG, 
PH. PL. PT. RO, RU, SC, SD, SE. SG, SK, SL, SY, TJ. TM, 

m TR, 'rr, tz, ua, ug, us, uz, vc, vn, yu, za, zm, 
zw. 

(84) Bestimmungsstaaten (soweit nicht anders angegeben, fur 
jede verfughare regionale Schutzrechtsart): ARTPO (BW, 
GH, GM, KE, LS. MW. MZ, NA, SD, SL, SZ, TZ, UG, 
ZM, ZW), eurasisches (AM, AZ, BY, KG. KZ, MD, RU, 
TJ. TM), curopaischcs (AT, BE. BG. CH, CY, CZ, DE, DK, 



EE, ES, Fl, FR, GB, GR, HU, IE, IT, LU, MC, NL, PL, V\\ 
RO. SE, SI, SK, TR), OAPl (BF, BJ, CF, CG, CI, CM. GA, 
GN. GQ, GW. ML. MR. NE, SN. TO, TG). 

VerotTentlicht: 
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kuriungen wird auf die Erkldrungen ("Guidance Notes on Co- 
des and Abbreviations") am Anfang jeder reguldren Ausgabe der 
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(57) Zusainincnfassung: Vorliegende Erkenntnis isl, dass die in vielen Systemen bereils vorhandene Gruppierung der individuell 
adressierbaren Einheiien eines Speichers (12) zu Gruppen bzw. Seiten (I2a) verwendei werden kann, urn die KomplexitSt der adres- 
sabhangi-gen Schliisselgenerierung bei nur geringfugiger Verringerung an der Sicherheit deutlich zu verkleinem, wenn zun^chst 
ein Seitenvorschliissel auf der Basis einer Seitenadresse (30a) berechnet (36) wird und dann auf der Basis des Seiten-vorechllissels 
und der Wortadresse (30b) erst der individuelle SchlQssel ermittelt wird. Hierdurch kann die adressabhangige Schliisselgenerierung 
in cinen kryplographisch anspruchs voile n rclativ aufwcndigen Prozcss, der abcr nur seiten durchgefuhrt werden muss, namlich die 
Scilenvorschlusselberechnung (34), und in cinen schncUcn, nahezu aufwandslosen SchriU (36), der fur jcdes Wort bzw. jcdc indi- 
viduell adressierbare Ein-heit (I2b) ausgefuhrt werden muss, namlich die Ermittlung des individuellen Schlussels auf der Basis des 
SeitenvorschlUs-sels und der Wortadresse (30b), aufgespalten werden. 
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Beschreibung 

Wortindividuelle Schlusselerzeugung 

5 Die vorliegende Erfindung bezieht sich auf den Schutz von 
Speicherinhalten durch Verschlusselung im allgemeinen und 
insbesondere auf die Erzeugung einheitenindividueller Schlus- 
sel zum Zugreifen auf die adressierbaren Einheiten eines 
Speichers . 

10 

Zum Schutz gegen unberechtigtes Ausspahen von gespeicherten 
Informationen werden in verschiedenen Anwendungen die Spei- 
cherinhalte des Speichers verschlusselt . Im Bereich des 
bargeldlosen Zahlungsverkehrs beispielsweise werden auf 
• 15 Chipkarten gespeicherte Geldbetrage verschlusselt gespei- 

chert, urn sie vor unberechtigtem Ausspahen zu schutzen, oder 
vor Manipulationen, wie z.B. unberechtigten Betragsverande- 
rungen. 

20 An die in einem Speicher gespeicherten verschliisselten Infor- 
mationen, d.h. den Klartext, gelangt ein Unberechtigter 
beispielsweise durch statistische Analyse des auf dem Spei- 
cher gespeicherten Chiffrats. Diese statistische Analyse 
umfasst beispielsweise eine Analyse der Auf tretenswahrschein- 

25 lichkeit bestimmter Chif frat-Datenbl5cke oder dergleichen. Urn 
'diese statistischen Analysen zu erschweren, ist es wunschens- 
wert, dass gleiche Klartexte, die sich in verschlusselter 
Form an unterschiedlichen Speicherposit ionen des Speichers 
befinden, dort nicht in Form identischer Chiffretexte vorlie- 

30 gen. 

Eine M5glichkeit, die VerschlUsselung von Klartexten an 
unterschiedlichen Speicherpositionen in den unterschiedlichen 
Chiffretexten sicherzustellen, besteht darin, zur VerschlOs- 
35 selung das sogenannte Cipher-Block-Chaining-Verf ahren zu 
verwenden, d.h. das Betreiben einer Blockchiffre im CBC- 
Modus, wie er beispielsweise im Handbook of Applied Cryp- 
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tography, CRC Press, NY, 1997, S. 230, beschrieben ist. Im 
CBC-Modus wird zur Verschlusselung eines Klartext-Datenblocks 
immer das Chiffrat des vorhergehenden Klartext-Datenblocks 
herangezogen, wie z.B. des Klartext-Datenblocks mit urn 1 
niedrigerer oder urn 1 hoherer Adresse in dem Speicher. Der 
CBC-Modus hat den Nachteil, dass ein einzelnes isoliertes 
Datum in dem Speicher nur entschlusselt werden kann, wenn die 
gesamte Kette der sequentiellen Oaten entschlusselt wird. 
Folglich ist kein direkter Zugriff auf Daten innerhalb der 
CBC-Kette moglicht. Das Durchgehen der Chif f re-Kette kostet 
wiederum kostbare Rechenzeit und verbraucht unnotig viel 
Strom, was insbesondere bei Smartcards von Nachteil ist, die 
in batteriebetriebenen Geraten verwendet werden, wie z.B. 
Handys, oder bei Chipkarten, bei denen die Kunden der Chip- 
kartenherausgeber moglichst kurze Transaktionszeiten an den 
Terminals verlangen. 

Eine weitere Moglichkeit sicherzustellen, dass gleiche Klar- 
texte, die sich an unterschiedlichen Speicherpositionen 
befinden, in unterschiedliche Chiffretexte verschlusselt 
werden, besteht in der Generierung adressabhSngiger Schlussel 
zur Verschlusselung der Klartexte. Die Verwendung adressab- 
hangiger Schlussel macht sich den Umstand zunutze, dass einera 
zu speichernden, zu verschlusselnden Datum ein fester Spei- 
cherplatz und somit eine fest zugeordnete Adresse zugeordnet 
ist, und dass das verschlusselte, gespeicherte Datum genau an 
dieser fest zugeordneten Adresse gespeichert ist und bleibt, 
bis es wieder anhand dieser Adresse ausgelesen wird. Aus 
einem vorhandenen geheimen Generalschlussel und der Adressin- 
formation fur eine Speicherposition bzw, eine individuell 
adressierbare Einheit kann nun ein individueller Schlussel 
generiert werden, mit welchem dann das betreffende Datum bei 
einem Schreibevorgang verschlusselt und bei einem Lesevorgang . 
entschlusselt werden kann. Die adressabhangige Generierung 
hat den Nachteil, dass der Aufwand fur die Schlusselgenerie- 
rung in etwa so groB ist, wie der Aufwand fur die Verschlus- 
selung bzw. Entschlusselung selbst, da fur jeden adressierba- 
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ren Speicherplatz bzw. fur jedes adressierbare Speicherwort 
eine Schlusselgenerierung durchgefuhrt werden muss, die dafur 
sorgt, dass die Abbildung von Adresse auf zugehorige adress- 
abhangige Schliissel fur einen Unbefugten moglichst undurch- 
5 sichtig ist. Schlusselgenerierung auf Speicherwortgranulari- 
tat zieht folglich ebenfalls ein hohes Mali an Perf ormancere- 
duzierung mit sich, was die Kundenf reundlichkeit bei bei- 
spielsweise Chipkarten verringern kann. 

10 Eine M5glichkeit, das Sicherheitsdef izit durch Weglassen der 
Adressabhangigkeit bei der Verschliisselung gespeicherter 
Speicherinhalte auszugeichen, bestunde darin, die Blockgrolien 
bei der Verschlusselung zu vergroliern, da dies die Anzahl 
mdglicher Klartexte fiir ein Chiffrat erhoht . Damit verbunden 

15 ist jedoch ein erhohter Auf wand auf Seiten der Verschlusse- 
lungs- und Entschlusselungshardware, der diese Option fur 
Massenwar.e wie Chipkarten untragbar macht. 

Die Aufgabe der vorliegenden Erfindung besteht darin, ein 
20 Verf ahren und eine Vorrichtung zur Erzeugung individueller 
Schiussel zu schaffen, die einen Zugriff auf einen Speicher 
auf der Basis dieser individuellen Schiussel ermdglichen und 
dabei den Gesamtauf wand zum Zugriff zu verringern. 

25 Diese Aufgabe Wird durch eine Vorrichtung gemaii Anspruch 1 
und ein Verfahren gemali Anspruch 13 gelost. 

Die Erkenntnis der vorliegenden Erfindung besteht darin, dass 
die in vielen Systemen bereits vorhandene Gruppierung der 

30 individuell adressierbaren Einheiten eines Speichers zu 

Gruppen bzw. Seiten verwendet werden kann, urn die Komplexitat 
der adressabhangigen Schlusselgenerierung bei nur geringfUgi- 
ger Verringerung an der Sicherheit deutlich zu verkleinern, 
wenn zun^chst ein Seitenvorschlussel auf der Basis einer 

35 Seitenadresse berechnet wird und dann auf der Basis des 

Seitenvorschliissels und der Wortadresse erst der individuelle 
SchLiissel ermittelt wird. Hierdurch kann die adressabhangige 
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Schliisselgenerierung in einen kryptographisch anspruchsvollen 
relativ aufwendigen Prozess, der aber nur selten durchgefuhrt 
werden muss, namlich die Seitenvorschlusselberechnung, und in 
einen schnellen, nahezu auf wandslosen Schritt, der fur jedes 
Wort bzw. jede individuell adressierbare Einheit ausgefuhrt 
werden muss, namlich die Ermittlung des individuellen Schlus- 
sels auf der Basis des Seitenvorschlussels und der Wortadres- 
se, aufgespalten werden. Der Seitenvorschlusselberechnungs- 
vorgang kann also derart gewahlt werden, dass der Vorgang bei 
der Implementierung weniger ChipflSche und/oder mehr Verar- 
beitungslauf zeitdauer aufweist als die Implementierung der 
Ermittlung des individuellen Schlussels. Hierdurch kann die 
Zugriffszeit auf den Speicher verringert werden, da die 
Seitenadresse ja fur alle individuell adressierbaren Einhei- 
ten, die zu einer Seite gehoren, gleich ist und folglich 
nicht immer erneut berechnet werden muss. Vielmehr kann die 
Seitenadresse zwischengespeichert werden, um fur diejenigen 
unter den nachf olgenden Zugriffen auf den Speicher zur VerfU- 
gung zu stehen, die sich auf adressierbare Einheiten in der- 
entsprechenden Speicherseite beziehen. Die Speicherung kann 
beispielsweise in einem Verdrangungsspeicher erfolgen, bei 
dem ein gewisser Verdrangungsmechanismus verwendet wird, um 
in demselben beispielsweise die SeitenvorschlUssel fiir dieje- 
nigen Seiten zeitweilig gespeichert bereitzustellen, auf die 
bzw! deren inbegrif f enen Einheiten mit hoher Wahrscheinlich- 
keit in kurze wieder zugegriffen wird. Dieser Speicher kann, 
wenn vorhanden, mit einem Cache- oder Daten-Cache-Speicher 
integriert bzw. kombiniert werden, der ja auf ahnlich Weise 
dazu da ist, aktuelle Daten fur einen schnellen Zugriff 
bereitzustellen, ohne dass ein Zugriff auf einen langsameren 
Hintergrundspeicher notwendig ist. 

Bevorzugte Ausf uhrungsbeispiele der vorliegenden Erfindung 
werden nachfolgend Bezug nehmend auf die beiliegenden Zeich- 
nungen n^her erlautert. Es zeigen: 
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Fig. 1 ein Blockschaltbild eines Speichersystems, in 

welchem eine erf indungsgemafie Schlusselerzeugung 
verwendet werden kann, gemaft einem Ausf uhrungsbei- 
spiel der vorliegenden Erfindung; 

5 

Fig. 2a ein schematisches Blockschaltbild zur Veranschauli- 
chung des Aufbaus und der Funktionsweise der 
Schliisselerzeugungseinrichtung in dem Speichersys- 
tem von Fig. 1 gemali einem Ausfuhrungsbeispiel der 
10 vorliegenden Erfindung; 

Fig. 2b eine schematische Darstellung des Aufbaus einer 

Seite aus Wortern gemali einem Ausfuhrungsbeispiel 
der vorliegenden Erfindung; 

15 

Fig. 3 ein schematisches Blockschaltbild zur Veranschauli- 
chung des Aufbaus und der Funktionsweise der Vor- 
schliisselberechnungseinrichtung in Fig, 2 gemali ei- 
nem Ausfuhrungsbeispiel der vorliegenden Erfindung; 

20 

Fig. 4 eine schematische Zeichnung zur Veranschaulichung 
des Aufbaus und der Funktionsweise der Einrichtung 
zur Erraittlung des individuellen Schlussels aus den 
Seitenvorschlusseln und der Wortadresse von Fig. 2 
25 . gemafi einem Ausfuhrungsbeispiel der vorliegenden 

Erfindung; 

Fig. 5 eine schematische Zeichnung zur Veranschaulichung 

des Aufbaus und der Funktionsweise der Ermittlungs- 
30 einrichtung von Fig. 2 gemaJi einem weiteren Ausfuh- 

rungsbeispiel der vorliegenden Erfindung; 

Fig. 6 eine schematische Zeichnung zur Veranschaulichung 

des Aufbaus und der Funktionsweise der Ermittlungs- 
35 einrichtung von Fig. 2 gemafi einem weiteren Ausfuh- 

rungsbeispiel der vorliegenden Erfindung; 
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Fig. 7 eine schematische Zeichnung zur Veranschaulichung 

des Aufbaus und der Funktionsweise der Ermittlungs- 
einrichtung von Fig. 2 gemaii einem weiteren Ausfuh- 
rungsbeispiel der vorliegenden Erfindung; 

5 

Fig. 8 ein Blockschaltbild eines fur die Entschlusselung 
zustandigen Teils einer Ver-/Entschlusselungsein- 
richtung wie in Fig- 1 gemalJ einem Ausfuhrungsbei- 
spiel der vorliegenden Erfindung; 

10 

Fig. 9 ein Blockschaltbild eines fiir die Verschlusselung 
zustandigen Teils einer Ver-/Entschlusselungsvor- 
richtung wie in Fig. 1 gemali einem Ausfiihrungsbei- 
spiel der vorliegenden Erfindung; und 

15 

Fig. 10 ein Blockschaltbild einer Einrichtung zur Berech- 

nung einer Rundenschliisself olge als dem individuel- 
len Schlussel aus dem Vorschlussel gemaB einem wei- 
teren Ausfuhrungsbeispiel der vorliegenden Erfin- 
20 dung. 



Bevor bezugnehmend auf die Zeichnungen die vorliegende Erfin- 
dung anhand von Ausfuhrungsbeispielen nSher erlautert wird, 
wird darauf hingewiesen, dass gleiche Elemente oder ahnliche 
25 Elemente in diesen Figuren mit gleichen oder ahnlichen Be- 
zugszeichen versehen sind, und dass eine wiederholte Be- 
schreibung dieser Elemente vermieden wird. 



Fig. 1 stellt ein System aus CPU 10, Speicher 12 und einer 
30 Speicherzugriffsvorrichtung 14 dar. Das System von Fig. 1 ist 
beispielsweise Teil eines Kryptocontrollers auf einer Chip- 
karte. In dem Speicher 12, der beispielsweise Teil eines 
physikalisch grolieren Speichers sein kann, sind geheime 
Informationen gespeichert, wie z.B, ein Guthaben, ein Master- 
35 schiassel eines chipkartenherausgebenden Institutes oder aber 
ein geheimer Code eines geheimen Kryptographiealgorithmus . 
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Die CPU 10 arbeitet ein Progranun ab, das beispielsweise 
ebenfalls in dem Speicher 12 gespeichert sein kann, um vor 
Zugriffen unberechtigter geschutzt zu sein. Einige Befehle in 
dem Programm erfordern, dass die CPU 10 Speicherinhalte in 
5 dem Speicher 12 ladt bzw. ausliest oder Speicherinhalte in 
dem Speicher 12 durch neue Inf ormationen be- oder uber- 
schreibt . 

Die Zugrif f svorrichtung 14 ist dazu vorgesehen^ sicherzustel- 
10 len, dass die geheimeh Inf ormationen in dem Speicher 12 immer 
in verschltisselter Form gespeichert werden, und dass umge- 
kehrt die verschlusselten Speicherinhalte des Speichers 12 
bei Ladevorgangen bzw. bei Auslesen derselben wieder ent- 
schlusselt werden. 

15 

Die Zugrif f svorrichtung 14 umfasst eine Ver-/Entschlusse- 
lungseinrichtung 16 sowie eine Schlusselerzeugungseinrichtung 
18. Die Ver-ZEntschliisselungseinrichtung 16 ist dazu vorgese- 
hen, Daten von der CPU 10, die in dem Speicher 12 gespeichert 

20 werden sollen, vor ihrer Speicherung zu verschlusseln, und 
von dem Speicher 12 ausgegebene, gespeicherte und verschltis- 
selte Daten vor ihrer Weiterleitung an die CPU 10 zu ent- 
schltisseln. Die Ver-/Entschlusselungseinrichtung 16 verwendet 
hierzu einen wortindividuellen Schliissel, den sie von der 

25 Schlusseleinrichtung 18 erhalt, 

Genauer ausgedruckt ist die CPU 10 uber einen Adressbus 20 
mit sowohl einem Adresseingang des Speichers 12 als auch 
einem Adresseingang der Schlusselerzeugungseinrichtung 18 

30 verbunden. Die Schlusselerzeugungseinrichtung 18 gibt an 

ihrem Ausgang wortindividuelle Schlussel fur die Adressen auf 
dem Adressbus 20 aus, wobei der Ausgang der Schlusselerzeu- 
gungseinrichtung 18 mit einem Schliisseleingang der Ver- 
/Entschlusselungseinrichtung 16 verbunden ist. Uber einen 

35 Datenbus 22 ist die CPU 10 mit einem Daten-Ein/Ausgang des 
Speichers 12 verbunden. In den Datenbus 22 ist die Ver- 
/Entschlusselungseinrichtung 16 geschaltet. Insbesondere ist 
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ein Dateneingang der Ver-/Entschlusselungseinrichtung 16 mit 
einem Datenausgang der CPU 10 und ein weiterer Dateneingang 
der Ver--/Entschlusselungseinrichtung 16 mit einem Datenaus- 
gang des Speichers 12 verbunden, wahrend ein Datenausgang der 
Ver-/Entschlusselungseinrichtung 16 mit einem Dateneingang 
des Speichers 12 und ein weiterer Datenausgang der Ver-/Ent- 
schlusselungseinrichtung 16 mit einem Dateneingang der CPU 10 
verbunden ist. Die Ver-/Entschlusselungseinrichtung 16 bildet . 
also eine Schnittstelle zwischen CPU 10 und Speicher 12 und 
sorgt dafar, dass auf dem Datenbus 22 zwischen CPU 10 und 
Ver-/Entschlusselungseinrichtung 16 die Daten in entschlus- 
selter Form, d.h, im Klartext, und in dem Teil des Datenbus- 
ses 22 zwischen dem Speicher 12 und der Ver-/Entschlusse- 
lungseinrichtung 16 nur in verschlusselter Form, d,h. als 
Chiffrat, vorkommen. 

Nachdem im Vorhergehenden der Aufbau des Systems von Fig. 1 
beschrieben worden ist, wird im Folgenden dessen Funktions- 
weise beschrieben. Bei der nachf olgenden Beschreibung der 
Funktionsweise der CPU 10 wird angenommen, dass sich in dem 
Speicher 12 bereits verschlusselte Speicherinhalte befinden. 
Der Speicher 12 ist in kleinste individuell adressierbare 
Einheiten, im Folgenden als Worter bezeichnet, gegliedert, 
Jedem Wort des Speichers 12 ist eine eindeutige Adresse 
zugeordnet. Wird nun die CPU 10 bei Abarbeitung eines Pro- 
gramms angewiesen einen Ladevorgang durchzufuhren, d.h. den 
verschlusselten Speicherinhalt an einem individuell adres- 
sierbaren Element bzw. ein Wort aus dem Speicher 12 zu laden, 
so gibt die CPU 10 auf dem Adressbus 20 die entsprechende 
eindeutige Adresse aus. Der Speicher 12 verwendet die Adresse 
urn auf die entsprechende physikalische Speicherposition 
zuzugreifen und das dort gespeicherte verschlusselte Wort 
auszulesen und auf den Datenbus 22 an die Ver-/Entschlusse- 
lungseinrichtung 16 auszugeben. 

Die SchlOsselerzeugungseinrichtung 18 empfangt die von der 
CPU 10 ausgegebene Adresse ebenfalls, Wie es im Folgenden 
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noch beschrieben warden wird, ermittelt die Schlusselerzeu- 
gungseinrichtung 18 aus der Adresse. auf dem Adressbus 20 
einen wortindividuellen Schlussel, den die Ver-/Entschltisse- 
lungseinrichtung 16 benotigt, urn den verschlusselten ausgele- 
senen Speicherinhalt von dem Speicher 12 entschlUsseln zu 
konnen. Die Schlusselerzeugungseinrichtung 18 gibt den wort- 
individuellen Schlussel deshalb an die Ver-ZEntschliisselungs- 
einrichtung 16 aus. Diese entschltisselt auf der Basis des 
wortindividuellen Schlussels den von dem Speicher 12 erhalte- 
nen Speicherinhalt und gibt diesen Speicherinhalt im Klartext 
an die CPU 10 aus, die den nun entschliisselten Speicherinhalt 
je nach Befehl im Klartext verarbeitet, wie z.B. in ein 
internes Register ladt oder dergleichen. 

In dem Fall, dass das auszufiihrende Programm in der auszufUh- 
renden Befehlszeile einen Schreibvorgang anzeigt, gibt die 
CPU 10 auf dem Adressbus 20 die Adresse aus, die das Wort 
angibt, in welchem ein durch den Schreibbef ehl spezif iziertes 
Datum gespeichert werden soli. Das zu speichernde Datum gibt 
die CPU 10 auf dem Datenbus 22 an die Ver-/Entschlusselungs- 
einrichtung 16 aus. Wie zuvor bei dem Ladevorgang erzeugt die 
Schlusselerzeugungseinrichtung 18 aus der Adresse auf dem 
Adressbus 20 einen wortindividuellen Schlussel und gibt 
denselben an die Ver-/Entschlusselungseinrichtung 16 aus. 
Diese verwendet den wortindividuellen Schlussel zur Ver- 
schlusselung des zu speichernden Datums und gibt das Chiffrat 
an den Speicher 12 aus. Der Speicher 12 speichert das empfan- 
gene Chiffrat an der durch die Adresse auf dem Adressbus 20 
angegebenen Stelle in dem entsprechenden Wort ab. 

Bei der bisherigen Beschreibung wurde noch nicht genau auf 
die Funktionsweise der Schliisselerzeugungseinrichtung 18 
eingegangen. Wie es die im Folgenden beschriebenen Ausfuh- 
rungsbeispiele ftir die Schlusselerzeugungseinrichtung 18 zei- 
gen werden, ist die Schlusselerzeugungseinrichtung 18 derart 
ausgebildet, dass sie in der Lage ist, wortindividuelle 
Schlussel zur Verschliisselung der Speicherinhalte bzw. Worter 
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in dem Speicher 12 zu erzeugen, ohne aber dabei jedes Mai 
einen in etwa gleich aufwendigen SchlUsselerzeugungsprozess 
durchzufUhren. Dies wird erzielt, indem mehrere Worter, die 
ja die kleinsten adressierbaren Dateneinheiten des Speichers 
12 darstellen, jeweils zu einer Seite zusammengef asst werden, 
und dass fUr eine Seite nur die Seitenadresse, die die Seite 
unter den Seiten des Speichers 12 spezif iziert, auf kompli- 
zierte und aufwendige und damit sichere Weise zur Erzeugung 
eines Seitenvorschlussels herangezogen wird, wShrend fur die 
WOrter innerhalb dieser Seite die wortindividuellen SchlUssel 
auf einfache, weniger kompliziertere Weise auf der Basis des 
Seitenvorschlussels erzeugt werden. Ladt dann, wie es haufig 
vorkoniint, die CPU 10 nacheinander die Worter einer Seite aus, 
dann ist es nur beim ersten Wort dieser Seite notwendig, die 
aufwendige Vorschltisselgenerierung durchzufUhren, wShrend fur 
die restlichen Worter der Seite dann nur noch die weniger 
aufwendige Herleitung der wortindividuellen Schlussel auf der 
Basis dieses VorschlUssels notwendig ist. 

Um die Auf gliederung des Speichers 12 in Seiten und W5rter 
naher zu veranschaulichen, wird zunachst auf Fig. 2a und 2b 
Bezug genommen. Fig. 2a zeigt in ihrer oberen Haifte schema- 
tisch als Rechteck dargestellt einen Ausschnitt aus dem 
Speicher 12. Der in Fig. 2a dargestellte Ausschnitt umfasst 
exemplarisch 15 Seiten 12a. Jede Seite umfasst wiederum 16 
WSrter 12b, wobei dies der Obersichtlichkeit halber in Fig. 
2a jedoch nur fUr eine Seite 12a dargestellt ist. Die WSrter 
12b des Speichers 12 sind die kleinsten adressierbaren Daten- 
einheiten des Speichers 12. Das bedeutet anders ausgedrUckt, 
dass jedem Wort 12b eine eindeutige Adresse zugeordnet ist, 
durch die es mit dem Speicher 12 verbundenen Einheiten, wie 
z.B. der CPU 10 von Fig. 1, moglich ist, auf die Speicherin- 
halte der einzelnen Worter 12b zuzugreifen. Es wird darauf 
hingewiesen, dass die raumliche Anordnung der WOrter 12b, wie 
sie in Fig. 2a dargestellt ist, freilich nur exemplarisch 
ist, und dass der Speicher 12 auch mehrere Ubereinanderange- 
ordnete Speicherebenen aufweisen kann, und dass die einzelnen 
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WOrter 12b auch anders zu Seiten zusammengefasst sein konnen 
Oder anders angeordnet sein konnen als in Zeilen und Spalten, 
wie in Fig. 2a gezeigt. 

Urn nun die Darstellung der nachf olgenden Beschreibung zu 
vereinfachen, wird im Folgenden davon ausgegangen, dass der 
Speicher 12 2^° Worter umfasse. Jedes Wort bestehe aus 32 = 2^ 
Bits. Die Speichergrofte des Speichers 12 betragt also nach 
diesem lediglich illustrativen Beispiel 2^^ Bit = 2^"^ x 2^ Bit 
= 128 Kilobyte. Die Einteilung in Seiten wird exemplarisch 
derart vorgenommen, dass alle Worter mit Adressen, deren 16 
hochstwertige Bits {MSB; MSB = Most Significant Bits) gleich 
sind, zu einer Seite gehoren bzw, zu einer Seite zusammenge- 
fasst werden. Die Wortadressen von Wortern in einer Seite 
unterscheiden sich folglich lediglich in den verbleibenden 
vier niedrigstwertigen Bits (LSB; LSB = Least Significant 
Bits) der Zwanzig-Bit-Wortadresse . Der Speicher 12 enthalt 
folglich 2^^ Seiten. 

In Fig. 2a ist bei 30 noch exemplarisch der Aufbau einer 
eindeutigen Adresse eines Worts 12b gezeigt. Wie bereits 
erwahnt, wird im Folgenden davon ausgegangen, dass die ein- 
deutige Adresse 30 20 Bit lang ist. Der h5herwertigere Teil 
der eindeutigen Adresse 30 bestehend aus den 16 MSBs und wird 
als der Seitenadressteil 30a der eindeutigen Adresse bezeich- 
net. Der Seitenadressteil 30a enthalt die sog. Seitenadresse. 
Der niedrigwertigere Teil 30b der eindeutigen Adresse wird 
aus den vier LSBs gebildet und stellt den Wortadressteil 30b 
dar. Der Wortadressteil 30b gibt an, welchem der Worter in 
der durch den Seitenadressteil angegebenen Seite 12a die 
eindeutige Adresse 30 zugeordnet ist. 

Dies wird in Fig. 2b naher veranschaulicht , die fur eine 
Seite 12b die Aufteilung in die 16 warter 12a dieser Seite 
12b veranschaulicht, und in der die Worter durchnummeriert 
und mit einer zugehorigen 4-Bit-Wortadresse bzw. mit einem 4- 
Bit-Versatzwert versehen sind, der far das jeweilige Wort in 
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dem Wortadressteil 30b enthalten sein muss. Durch die Wortad- 
resse bzw. den Versatzwert in dem Wortadressteil 30b wird 
folglich jedem Wort einer Seite ein fester Platz innerhalb 
der Seite zugewiesen. 

5 

Bezugnehmend auf Fig. 2a wird nun im Folgenden die SchlUssel- 
erzeugungseinrichtung 18'gemali einem Ausf uhrungsbeispiel der 
vorliegenden Erfindung naher beschrieben. Die Schlusselerzeu- 
gungseinrichtung 18 umfasst eine Seitenwechself eststellungs- 

10 einrichtung 32, eine Vorschlusselberechnungseinrichtung 34 
und eine Einrichtung 36 zur Ermittlung des individuellen 
Schlussels. Ferner umfasst die Schlusselerzeugungseinrichtung 
18 einen Speicher, wie z.B. einen fluchtigen Speicher, 38 zur 
voriibergehenden Speicherung von dem oder den zuletzt verwen- 

15 deten Seitenvorschliissel (n) , auf deren Funktion und Erzeugung 
noch im Folgenden naher eingegangen wird. 

Die Seitenwechself eststellungseinrichtung 32 ist dazu vorge- 
sehen, den Seitenadressteil 30a der eindeutigen Adresse 30 

20 auf dem Adressbus 20 zu empfangen und daraufhin zu uberpru- 
fen, ob dieselbe eine Seite betrifft, fur die sich bereits 
ein Seitenvorschlussel in dem Zwischenspeicher 38 befindet. 
Ist dies der Fall, ist die Seitenwechself eststellungseinrich- 
tung 32 in der Lage, anhand der dort gespeicherten Seitenad- 

25 resse auf den Zwischenspeicher 38 zuzugreifen, welcher dar- 
aufhin den zwischengespeicherten Seitenvorschlussel fur die 
durch die Seitenadresse angegebene Seite an einen Seiten- 
vorschlusseleingang der Einrichtung 36 weiterleitet - 

30 Stellt die Seitenwechself eststellungseinrichtung 32 fest, 
dass fiir die durch die Seitenadresse angezeigte Seite noch 
kein Seitenvorschlussel vorliegt, gibt dieselbe die Seitenad- 
resse an einen Seitenadresseingang der Vorschlusselberech- 
nungseinrichtung 34 weiter. Die Vorschliisselberechnungsein- 

35 richtung 34 berechnet aus der Seitenadresse einen Seiten- 
vorschlussel fiir diese Seite und gibt den berechneten Seiten- 
vorschlussel an den Seitenvorschlusseleingang der Einrichtung 
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36 weiter. Ferner gibt sie denselben unter Verdrangung eines 
bereits gespeicherten Seitenvorschlussels zur vorubergehendeh 
Speicherung an den Speicher 38 aus. 

Der Wortadressteil 30b der auf dem Adressbus 20 vorliegenden 
eindeutigen Adresse 30 wird an einen Wortadresseingang der 
Einrichtung 36 zur Ermittlung des individuellen Schlussels 
weitergeleitet . Die Einrichtung 36 ermittelt aus eingegange- 
ner Wortadresse bzw. eingegangenem Versatzwert und eingegan- 
genem Seitenvorschlussel einen wortindividuellen Schiiissel 
fur das Wort, auf die die eindeutige Adresse 30 zeigt. Die 
Einrichtung 36 gibt diesen wortindividuellen Schlussel an 
ihrem Ausgang aus, der gleichzeitig auch den Ausgang der 
Schlusselerzeugungseinrichtung 18 darstellt, der, wie in Fig. 
1 gezeigt, mit dem Schlusseleingang der Ver-/Entschlusse- 
lungseinrichtung 16 verbunden ist. 

Nachdem im Vorhergehenden der Aufbau sowie die Funktionsweise 
der einzelnen Komponenten der Schlusselerzeugungseinrichtung 
18 beschrieben worden ist, wird im Folgenden die Funktions- 
weise beschrieben. Zu diesem Zweck wird zunachst davon ausge- 
gangen, dass noch zu keiner Seite 12a des Speichers 12 ein 
Seitenvorschlussel erzeugt worden ist, also auch noch keiner 
im Speicher 38 gespeichert ist. 

Bei Eingang einer eindeutigen Adresse 30 schlagt die Seiten- 
wechselfeststellungseinrichtung 32 zunachst im Speicher 38 
nach, ob fur die in dem Seitenadressteil 30a enthaltene 
Seitenadresse der Seite/ in der sich das Wort befindet, auf 
die die eindeutige Adresse 30 zeigt, wie es durch einen Pfeil 
40 angedeutet ist, ein Seitenvorschlussel vorhanden ist. Das 
Nachschlagen findet unter Verwendung der Seitenadresse als 
Index statt, wobei in dem Speicher 38 eine Tabelle von Seite- 
nadress/Seitenvorschlussel-Paaren bereitgestellt ist. Der 
Speicher 38 'ist somit ein inhaltsadressierbarer Speicher, der 
far ankommende Seitenadressen nachschlagt, ob er ein Seite- 
.nadress/Seitenvorschiassel-Paar mit dieser Seitenadresse hat 
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und den entsprechenden Schliissel ausgibt, falls dies der Fall 
ist. Dies soil jedoch vorliegend gemaB obiger Annahme zu- 
nachst nicht der Fall sein. Der Speicher 38 teilt den Fehl- 
schlag (miss) folglich der Seitenwechself eststellungseinrich- 
5 tung 32 mit, die ihrerseits wiederum die Seitenadresse an die 
Vorschliisselberechnungseinrichtung 34 weiterleitet . 

Die Vorschlusselberechnungseinrichtung 34 berechnet auf der 
Basis der Seitenadresse einen Seitenvorschliissel . Diese 
Berechnung umfasst gemafi dem bezugnehmend auf Fig. 3 naher 
beschriebenen Ausf iihrungsbeispiel wie die Verschliisselungsbe- 
rechnungseinrichtung 34 beispielsweise eine VerschlQsselung 
der Seitenadresse unter Verwendung eines Generalschltissels, 
so dass die Korrelation zwischen Seitenvorschliisseln^ die die 
Vorschlusselberechnungseinrichtung 34 aus den Seitenadressen 
berechnet, zu den Seitenadressen moglichst kompliziert ist. 
Die Vorschliisselberechnungseinrichtung 34 kann beispielsweise 
ganz allgemein die Seitenadresse an ihrem Seitenadresseingang 
gemali einer nichtlinearen Abbildung auf die Seitenvorschliis- 
sel abbilden. Diese nichtlineare Abbildung kann jedweder 
Abbildung der 16-Bit-Seitenadresse auf einen M-Bit- 
Seitenvorschliissel sein, wobei m > 16 sein muss, damit 
wirklich fur jede Seite ein unterschiedlicher Seiten- 
vorschliissel generiert wird, m aber auch kleiner 16 sein 
kann, wenn dies nicht erforderlich ist. Die Vorschliisselbe- 
rechnungseinrichtung 34 kann auch eine Einv/egf unktion oder 
eine asynunetrische Verschliisselung verwenden, um die Seiten- 
adresse auf den Seitenvorschlussel abzubilden. 

30 Der den Versatzwert enthaltende Wortadressteil 30b der auf 
dem Datenbus 20 vorliegenden eindeutigen Adresse 30 und der 
soeben von der Vorschlusselberechnungseinrichtung 34 berech- 
nete Seitenvorschlussel wird von der Einrichtung 36 dazu 
verwendet, den wortindividuellen Schlussel zu berechnen. Wie 

35 es spater bezugnehmend auf die Fig. 4-7 noch nSher erlau- 
tert werden wird, kann die Einrichtung zur Ermittlung des 
individuellen Schlvissels 36 beispielsweise den Versatzwert 
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bzw, die Wortadresse an ihren Wortadresseingang dazu verwen- 
den, den Seitenvorschlussel zu modif izieren, und zwar unter 
Verwendung einfacher Rechenoperationen, wie z.B. XOR- oder 
NXOR-Operationen oder dergleichen, Vorzugsweise sollten die 
5 Rechenoperationen, die die Einrichtung 36 zur Ermittlung des 
individuellen Schlussels verwendet, geringer an Zahl und 
weniger zeitauf wendig sein als die Vorschlusselberechnungs- 
einrichtung 34 zur Berechnung des Seitenvorschlussels verwen- 
det. Ferner wird es bevorzugt, dass die Einrichtung 36 zur 
10 Ermittlung des individuellen Schlussels mit weniger Chipfla- 
che implement iert ist und/oder die Implementierung der Ein- 
richtung 36 zur Ermittlung des individuellen Schlusjsels eine 
geringere Berechnungszeitdauer aufweist als die Vorschlilssel- 
berechnungseinrichtung 34. 

15 

Der wortindividuelle Schlussel, wie er von der Einrichtung 36 
ermittelt worden ist, wird dann an die Ver-/Entschllisselungs- 
einrichtung 16" weitergeleitet . 

20 Um nun zu verhindern, dass filr jede eindeutige Adresse 30, 
die auf dem Adressbus 20 ausgegeben wird, die komplizierte 
Vorschlusselberechnung erneut durchgefuhrt werden muss, 
speichert die Vorschliisselberechnungseinrichtung 34 bei jeder 
Berechnung den soeben berechneten SeitenvorschlOssel in dem 

25 Zwischenspeicher 38. Der Zwischenspeicher 38 wird beispiels- 
weise nach dem FIFO-Prinzip (FIFO = zuerst hinein zuerst 
hinaus) verwaltet, so dass bei Speicherung eines neuen Sei- 
tenvorschlussels durch die Vorschlusselberechnungseinrichtung 
34 derjenige Seitenvorschlussel verdrMngt bzw. uberschrieben 

30 wird, der zuerst hineingeschrieben worden ist. Freilich sind 
auch andere Aktualisierungs- bzw. Verdrangungsprinzipien 
■ anwendbar, wie z.B. das LRU- (Least Recently Used) Prinzip, 
bei dem der Seitenvorschlussel ausgelagert wird, auf den die 
langste Zeit nicht mehr durch die Seitenwechself eststellungs- 

35 einrichtung 32 zugegriffen worden ist, oder das LFU- (Least 
Frequently Used) Prinzip, bei dem der Seitenvorschlussel 
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ausgelagert wird, der die geringste Anzahl von Zugriffen 
durch die Seitenwechself eststellungseinrichtung 32 aufweist- 

Wenn nun eine foigende eindeutige Adresse 30, die auf dem 
5 Adressbus 20 danach ausgegeben wird, einen Seitenadressteil 
30a aufweist, in der eine Seitenadresse enthalten ist, die 
eine Seite anzeigt, fur die in dem Zwischenspeicher 38 noch 
ein Seitenvorschlussel zwischengespeichert ist, zeigt dies 
der Speicher 38 der Seitenwechself eststellungseinrichtung 32 

10 auf Erhalt der Seitenadresse als Index hin durch ein Treffer- 
(hit) Signal an. Die. Seitenwechself eststellungseinrichtung 32 
leitet die Seitenadresse hierauf nicht an den Seitenadress- 
eingang der Verschlusselungsberechnungseinrichtung 34 weiter, 
sondern unter Umgehung der letztgenannten wird der der inte- 

15 ressierenden Seitenadresse zugeordnete und bereits friiher 
berechnete Seitenvorschlussel von dem Speicher 38 an den 
Seitenvorschlusseleingang der Einrichtung 36 ausgegeben. 
Aufgrund der Umgehung der Vorschliisselberechnungseinrichtung 
34 im Fall eines Treffers muss in diesem Fall also keine 

20 komplizierte und zeitraubende Vorschlusselberechnung durchge- 
fuhrt werden. Lediglich ein Nachschlagvorgang in dem Zwi- 
schenspeicher 38 ist notwendig, um den Seitenvorschlussel fur 
die neue eindeutige Adresse 30 auf dem Adressbus 20 zu ermit- 
teln. Hierbei konnen zwischen der eindeutigen Adresse 30, auf 

25 deren Ausgabe auf dem Adressbus 20 hin der Seitenvorschlussel 
tatsachiich durch die Vorschliisselberechnungseinrichtung 34 
berechnet und in den Zwischenspeicher 38 eingetragen worden 
ist, und der eindeutigen Adresse 30, auf welche hin der 
Seitenvorschlussel aus dem Speicher 38 abgerufen wird, auf 

30 dem Adressbus 20 zwischenzeitlich schon eine oder raehr ein- 
deutige Adressen 30 ausgegeben worden sein. Das bedeutet, 
dass bei geeigneter, an die jeweilige Anwendung des Systems 
von Fig. 1 angepasster Verdrangungsstrategie des Speichers 38 
eventuell Qber lange Zeitdauern hinweg bzw. uber mehrere 

35 eindeutige Adressen 30 auf dem Adressbus 20 hinweg, keine 
Vorschlusselberechnung durchgefuhrt werden muss. Lediglich 
die unkomplizierte Modif izierung des von dem Zwischenspeicher 
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38 abgerufenen Seitenvorschltissels durch die Wortadresse bzw. 
den Versatzwert in der Einrichtung 36 muss durchgefuhrt 
werden, ura zu dem wortindividuellen Schlussel fur das Wort zu 
gelangen, dem die eindeutige Adresse 30 auf dem Adressbus. 20 
5 zugeordnet ist. 

Der Zwischenspeicher 38 kann in einem der CPU 10 zugeordneten 
Cash-Speicher (nicht gezeigt in Fig. 1) zu einem erweiterten 
Cache integriert sein. Die Cache enthielte dann beispielswei- 

10 se fur einen schnelleren Datenzugriff die Inhalte kurzlich 

verwendeter Seiten, d.h. Seiteri auf die kurzlich zugegriffen 
"wurde. Die Inhalte wSren dann verschliisselt gespeichert. Zu 
jedem Seiteninhalt wSre in dem Cache die zugeh5rige Seitenad- 
resse und der Seitenvorschlussel gespeichert, Dieser erwei- 

15 terte Cache enthielte also eine Tabelle von Triplets aus 
Seitenadresse, Seitenvorschlussel und Seitenchif f rat . Die 
VerdrSngungsstrategie dieses erweiterten Caches konnte eine 
der vorhergehenden genannten sein. In dem Fall eines Fehl- 
schlags ware die Funktionsweise die gleiche, wie oben be- 

20 schrieben, mit dem Unterschied, dass nun auch der verschlus- 
selte Inhalt der aktuellen Seite unter Verdrangung einer 
anderen Seite in dem Cache gespeichert wird. In dem Fall 
eines Treffers wiirde neben der Ausgabe des Seitenvorschltis- 
sels an die Einrichtung 36 ferner die Ausgabe des verschlOs- 

25 selten Worts, auf den die eindeutige Adresse 30 zeigt, aus 
dem Chiffrat der interessierenden Seite an den Dateneingang 
der Ver/Entschlusselungseinrichtung 16 (Fig. 1) ausgegebene 
werden, der mit dem Speicher 12 verbunden ist, wodurch der 
langsamere Zugriff auf den Speicher 12 umgangen wiirde. Frei- 

30 lich konnte der Cache-Speicher auch wortweise organisiert 
sein mit Tripeln aus Wortadresse, Wortchiffrat und Seiten- 
vorschlussel. In dem Fall eines Daten-Caches mit unverschlus- 
selten Daten ware dieser in der Klartext-Domane zwischen CPU 
und Vorrichtung 14 angeordnet (Fig.. 1) und eine Kombination 

35 des Daten-Caches mit der Speicher 38 ware unnotig. Ferner 
konnte aber anstelle des Cache-Speichqrs 38 auch ein einfa- 
cher Speicher fur die Speicherung nur des zuletzt berechneten 
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Seitenvorschlussels verwendet werden, dessen Inhalt bei einem 
nachf olgenden Zugrif f svorgang ausgelesen und unter Umgehung 
der Einrichtung 34 verwendet wird, wenn die nachste Seitenad- 
resse^ auf den sich dieser Zugrif f svorgang bezieht, die selbe 
5 wie die ist, auf den sich der vorhergehende Speichervorgang 
bezog^ bei dem der zuletzt berechnete Speichervorschliissel 
berechnet und gespeichert wurde. 

Bezugnehmend auf Fig. 3 wird nun im Folgenden ein Ausfuh- 

10 rungsbeispiel fur die Vorschlusselberechnungseinrichtung 34 
beschrieben. Die Vorschliisselberechnungseinrichtung 34 von 
Fig. 3 umfasst einen Seitenadresseingang 50 und einen Vor- 
schlusselausgang 52, sowie eine Expansionseinrichtung 54 und 
ein Blockchif f remodul 56. Ein Dateneingang der Expansionsein- 

15 richtung 54 ist mit dem Seitenadresseingang 50 verbunden, urn 
die 16-Bit-Seitenadresse zu erhalten. Die Expansionseinrich- 
tung 54 erzeugt auf Basis der 16-Bit-Seitenadresse einen 64- 
Bit-Datenblock 58^ indem er jedes Bit der Seitenadresse auf 
vier Bitpositionen des 64-Bit-Datenblocks 58 verteilt. Genau- 

20 er ausgedriickt^ schreibt die Expansionseinrichtung 54 die 

Seitenadresse in die Bits 0 - 15, 16 - 31, 32 - 47 und 48 - 
63 des 64-Bit-Datenblocks 58, wie es auch in Fig. 3 angedeu- 
tet ist. Den so gebildeten 64-Bit-Datenblock 58 gibt die 
Expansionseinrichtung 54 an einen Dateneingang des Block- 

25 chif f remoduls 56 aus. Das Blockchif f remodul 56 umfasst neben 
dem Dateneingang ferner einen Schlusseleingang, an dem die- 
selbe einen 64-Bit-Generalschlussel erhalt. Der 64-Bit- 
Generalschlussel ist fest und muss vor einem unautorisierten 
Zugriff durch Dritte durch geeignete MafJnahmen geschutzt 

30 werden. Das Blockchif f remodul 56 bewirkt eine nichtlineare 
Abbildung, die von dem Generalschlussel abhangt, und ist 
beispielsweise ein DES-Modul oder ein AES-Modul. Basierend 
auf dem Generalschlussel chiffriert bzw. verschlusselt das 
Blockchif f remodul 56 den 64-Bit-Datenblock 58, urn einen 

35 verschlusselten 64-Bit-Datenblock zu erhalten und diesen an 
den Datenausgang 52 auszugeben. Dieser verschliisselte 64-Bit- 
Datenblock stellt gemSJi diesem Ausfiihrungsbeispiel den Sei- 
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tenvorschltissel dar, basierend auf welchem, wie in Fig. 2a 
beschrieben, die wortindividuellen Schlussel der Worter der 
zugehorigen Seite berechnet werden, auf die die Seitenadresse 
am Eingang 50 zeigt. 

5 

Bezugnehmend auf die folgenden Fig. 4-7 werden nun Ausfuh- 
rungsbeispiele fiir die Einrichtung 36 zur Ermittlung des 
individuellen Schlussels aus dem Seitenvorschlussel und der 
Wortadresse von Fig. 2a beschrieben. 

10 

GemaB dem Ausf iihrungsbeispiel von Fig. 4 wird die 4-Bit- 
Wortadresse durch XOR-Operationen mehrmals auf den Seiten- 
schliissel aufaddiert. Hierzu umfasst die Einrichtung 36 16 4- 
Bit-XOR-Verknupfungseinrichtungen 60a, 60b, 60c, 60d und 60e. 

15 Jede XOR-VerJcnupfungseinrichtung umfasst zwei 4-Bit- 

Dateneingange und einen 4-Bit-Datenausgang. An dem ersten der 
beiden 4-Bit-Dateneingange empfangen die XOR- 
Verkniipf ungseinrichtungen 60a - 60e die 4-Bit-Wortadresse . An 
den zweiten Dateneingangen empfangen die XOR- 

20 Verkniipf ungseinrichtungen 60a - 60e unterschiedliche vier 

Bits des 64-Bit-Vorschlussels, der beispielsweise auf die in 
Fig. 3 gezeigte Weise erzeugt worden ist. Genauer ausge- 
driickt, empfangt jede XOR-VerknQpf ungseinrichtung 60a - 60e 
unterschiedliche vier auf einanderf olgende Bits des Seiten- 

25 vorschliissels, namlich die XOR-Verkniipf ungseinrichtung 60a 
die Bits der Bitpositionen 63 - 60, die XOR- 
Verkniipf ungseinrichtung 60b die Bits der Bitpositionen 59 - 
56, die XOR-Verknupf ungseinrichtung 60c die Bits der Bitposi- 
tionen 55 ... 52 usw. des Vorschliissels, wie es in Fig. 4 

30 angezeigt ist. Die XOR-Verkniipf ungseinrichtungen 60a - 60e 

verknupfen bitweise die 4-Bit~Wortadresse mit den jeweiligen 
vier Bits aus dem 64-Bit-'Vorschlussel . 

Gegeben sei beispielsweise der Seitenschltissel als der Vektor 
35 Kseite = (ko k^ k2 . . . kg2 ^63)^ wobei ki, fur i = 0 ... 63, der 

Bitwert des Seitenvorschliissels an der Bitposition i sei, und 
die Wortadresse durch den Vektor (wq wi W2 W3) , wobei Wj mit j 
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=0 ... 3 das Bit der Wortadresse an der Bitposition j sei. 
Die bitweisen XOR-Verknupf ungsergebnisse der XOR-Gatter 60a - 
60i werden dann derart zu einem wortindividuellen Schlussel 
mit 64 Bit zusammengef asst, dass sich der wortindividuelle 
5 Schlussel zu einem Vektor Kwort ergibt, mit Kwort = {Ko©wo, 
ki© wi, k2® W2, k3© W3, k4© Wo, ks© wi, ke© W2, kv© W3, 
keo© Wo, kei© wi, k62© W2, kes© W3) , wobei © eine XOR- 
Verkniipfung anzeige. 

10 Gemaft dem Ausf iihrungsbeispiel von Fig. 5 umfasst die Einrich- 
tung 36 zur Ermittlung des individuellen Schlussels eine 
Nachschlagtabelle 70, die fUr jede mGgliche 4-Bit-Wortadresse 
einen unterschiedlichen 64-Bit-Maskierungsvektor bereit- 
stellt, sowie eine 64-Bit-XOR-Verknupf ungseinrichtung 72. 

15 GemaB diesem Ausfiihrungsbeispiel wird mit der Wortadresse als 
Index durch eine mit 74 veranschaulichte Nachschlageinrich- 
tung beispielsweise auf die Nachschlagtabelle 70 zugegriffen, 
urn auf den Maskierungsvektor zuzugreifen, der der Wortadresse 
zugeordnet ist, die der Einrichtung 36 von dem Wortadressteii 
, 20 der aktuell auf dem Adressbus vorliegenden eindeutigen Adres- 
se zugefuhrt wird. Die Nachschlagtabelle 70 gibt den inde- 
xierten Maskierungsvektor an einen ersten Dateneingang der 
XOR-Verknupf ungseinrichtung 72 aus. Ein zweiter 64-Bit- 
Dateneingang der XOR-Verkntipf ungseinrichtung 72 erhSlt den 

25 64-Bit-Seitenvorschlussel. Ein 64-Bit-Datenausgang der XOR- 
Verknupf ungseinrichtung 72 stellt gleichzeitig den Ausgang 
der Einrichtung 36 von Fig. 5 dar. An diesem wird der wortin- 
dividuelle 64-Bit-Schiassel ausgegeben. 

30 Sei der Seitenvorschlussel beispielsweise durch den bezugneh- 
mend auf Fig, 4 definierten Vektor Kseite gegeben, so gibt 
die XOR-Verknupfungseinrichtung 72 an ihren Datenausgang 
(ko®mo, ki© mi, k63©ni63) als wortindividuellen Schlussel 

Kwort aus, wenn der indexierte Maskierungsvektor (mo, mi, 

35 m63) ist. Anders ausgedruckt, wird gemaft dem Ausfuhrungsbei- 
spiel von Fig. 5 fUr jede Wortadresse ein Maskierungsvektor 
bereitgestellt, der die selbe Bitlange wie der Seiten- 
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vorschiassel aufweist, wobei uber eine Nachschlagtabelle fUr 
die interessierende Wortadresse der ihr zugeordnete Maskie- 
rungsvektor angesteuert und dieser Maskierungsvektor dann auf 
den Seitenvorschlussel durch bzw, per XOR-Verknupf ung aufad- 
5 diert wird, wobei das Ergebnis der wortindividuelle 64-Bit- 
Schliissel ist. 

Gemafi) dem Ausf uhrungsbeispiel von Fig. 6 umfasst die Einrich- 
tung 36 zur Ermittlung des wortindividuellen Schlussels eine 

10 Nachschlagtabelle 80, in der vordef inierte unterschiedliche 
Permutationsvorschriften, namlich eine unterschiedliche 
Permutationsvorschrift fiir jeden moglichen Wert., den die 
Wortadresse annehmen kann, und eine steuerbare Permutations- 
einrichtung 82. Mit dem der Einrichtung 36 zugefuhrten Wort- 

15 adresse von dem Wortadressteil der aktuell auf dem Adressbus 
vorliegenden eindeutigen Adresse als Index greift ein mit 84 
versinnbildlichte Nachschlageinrichtung auf die Nachschlagta- 
belle 80 zu, die daraufhin die dieser Wortadresse zugeordnete 
Permutationsvorschrift an die steuerbare Permutationseinrich- 

20 tung 32 weiterleitet . Die Permutationsvorschriften, die in 

der Nachschlagtabelle 80 fur jeden moglichen Wert der Wortad- 
ressen gespeichert sind, sind beispielsweise 64'-'Bit-Vektoren 
mit 6~Bit-Koef f izienten, wobei der erste Koeffizient angibt, 
an welcher Stelle gemaB der Permutationsvorschrift das 

25 niedrigstwertige Bit an dem 64-Bit-Dateneingang der steuerba- 
ren Permutationseinrichtung 82 verschoben wird, der zweite 
Koeffizient angibt, wohin das nachste hoherwertige Bit am 64- 
Bit-Dateneingang der steuerbaren Permutationseinrichtung 82 
verschoben werden soil, usw. Der Dateneingang der steuerbaren 

30 Permutationseinrichtung 82 empfangt den Seitenvorschlussel. 
Am 64~Bit-Datenausgang der steuerbaren Permutationseinrich- 
tung 82 wird der wortindividuelle 64~Bit-Schlussel ausgege- 
ben, der sich gemafi) der indexierten Permutationsvorschrift 
lediglich dadurch von dem Seitenvorschlussel unterscheidet , 

35 dass die einzelnen Bits innerhalb der 64 Bitpositionen ver- 
schoben bzw. untereinander vertauscht sind. 
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Sei der Seitenvorschlussel beispielsweise durch den bezugneh- 
mend auf Fig. 4 definierten Vektor Kseite gegeben, so gibt 
die Permutationseinrichtung 72 an ihren Datenausgang (kp(0)/ 
kp(i)f --./ kp(63)) als wortindividuellen Schliissel Kwort aus, 
5 wenn der ausgewahlte Permutations vektor (P(0),P(1), 
...,P(63)) ist. 

Anders ausgedriickt^ steht gemafi dem Ausf uhrungsbeispiel von 
Fig. 6 fur jede Wortadresse eine bestimmte Permutation be- 
10 reit. Zur Generierung des wortindividuellen Schlussels aus 

dem Seitenvorschlussel . lasst man die der Wortadresse zugeord- 
nete Permutation auf die Bits des Seitenvorschltissels wirken, 
wobei das Ergebnis dann der wortindividuelle Schliissel ist. 

15 Im Bezug auf die vorhergehenden bezugnehmend auf die Fig. 4 - 
6 beschriebenen Ausfuhrungsbeispiele fur die Einrichtung 36 
zur Ermittlung des wortindividuellen Schlussels gilt, dass 
dieselben ohne weiteres mit dem Ausf uhrungsbeispiel von Fig. 
3 fiir die Vorschlusselberechnungseinrichtung 34 kombinierbar 

20 sind, da dieselben als Seitenvorschlussel einen 64-Bit- 

Seitenvorschlussel erwarten bzw. verlangen. Wie aber bereits 
erwahnt, ist es ferner moglich, die Vorschlusselberechnungs- 
einrichtung 34 anders auszufuhren. So konnte es moglich sein, 
dass die Vorschliisselberechnungseinrichtung 34 einen 79-Bit- 

25 Seitenvorschlussel erzeugt. Hiervon geht das Ausf uhrungsbei-- 
spiel von Fig. 7 fiir die Einrichtung zur Ermittlung des 
individuellen Schliissels aus, GemSB diesem Ausf uhrungsbei- 
spiel besteht die Einrichtung 36 aus einem Multiplexer 90 mit 
einem 79-Bit-Dateneingang, einem 4-Bit-Steuereingang und 

30 einem 64-Bit-Datenausgang, wobei der Multiplexer 90 ausgebil- 
det ist, urn abhangig von der 4-Bit-Wortadresse an dem 4-Bit- 
Steuereingang 64 der 79 Bits des Seitenvorschlussels an dem 
Dateneingang als 64-Bit-wort individueller Schlussel an den 
64-Bit-Datenausgang auszugeben. Anders ausgedriickt , wird nach 

35 dem Ausf uhrungsbeispiel von Fig. 7 ein etwas ISngerer Seiten- 
vorschlussel generiert als das fur die Datenverschlusselung 
eigentlich erforderlich ist. In Abhangigkeit von der Wortad- 
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resse wird dann ein bestimmtes Segment aus diesem langen 
Seitenschliissel ausgewahlt und als wortindividueller Schlus- 
sel genutzt, 

Der Multiplexer 90 kann beispielsweise derart ausgebildet 
sein, dass er den Seitenvorschlussel Kseite = (ko, ki, k2, 
k77, k78) abhangig von der Wortadresse W auf den wortindividu- 
ellen 64-Bit-Schlussel Kworc- (ko, ki, kga) abbildet, ^enn 

W=0000b, auf Kwort = (ki, kg, Ua) r wenn W=0001b/ auf Kwotc 

== (k2, ka, kes) / wenn W=0010b und auf Kwoct = (kis/ ki6/ 

. . - , k^s) f wenn W=llllb- 

Freilich sind auch andere Ausf uhrungsbeispiele als die in 
Fig. 4-7 gezeigten far die Einrichtung 36 zur Ermittlung 
des wortindividuellen Schlussels moglich. Die Einrichtung 36 
kannte beispielsweise auch als eine kryptographische Einweg- 
funktion implementiert sein. Eine Einwegf unktion ist eine 
Funktion, bei der es wesentlich aufwendiger ist, die inverse 
Funktion zu ermitteln, oder bei der es unmoglich ist, diesel- 
be zu ermitteln. Ein Beispiel fur eine Einwegf unktion ist 
beispielsweise eine modulare Operation, wie z.B. eine modula- 
re Exponentation. Diese Einwegf unktion lasst man dann auf die 
jeweilige Wortadresse wirken- Der so entstehende Funktions- 
wert mit dem Seitenvorschlussel verknupft ergibt den wortin- 
dividuellen Schlussel. 

Nachdem sich die vorhergehenden Ausf uhrungsbeispiele von Fig. 
3-7 vornehmlich mit Ausf uhrungsbeispielen fur die Vor- 
schlusselberechnungseinrichtung 34 und die Ermittlungsein- 
richtung 36 beschaf tigten, wird bezugnehmend auf Fig. 8 ein 
Ausfiihrungsbeispiel fur denjenigen Teil der Ver- 
/Entschlusselungseinrichtung 16 beschrieben, der fur die 
Entschlusselung der von dem Speicher 12 (oder von einem Cache 
in dem Fall eines Treffers) zu der CPU 10 gesandten ver- 
schlusselten W6rter auf der Basis des wortindividuellen 
Schlussels, wie er von der SchlOsselerzeugungseinrichtung 18 
zugesendet wird, zustSndig ist. 
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Der Entschliisselungsteil von Fig. 8 ist allgemein mit 16a 
gezeigt. Er umfasst einen Dateneingang 100 zum Empfang des 
verschlusselten, zu entschlusselnden Wortes von dem Speicher 
5 12 sowie einen Datenausgang 102 zur Ausgabe des entschlussel- 
ten Wortes zur Weiterleitung an die CPU 10. Ferner umfasst 
der Entschlusselungsteil 16a einen Schlusseleingang 104 zum 
Empfang des wortindividuellen Schliissels von der Schlusseler- 
zeugungseinrichtung 18 (Fig. 1) . Als interne Komponenten 
10 umfasst der Empfangsteil 16a eine Pemutationseinrichtung 106 
zur Ausfuhrung einer inversen Permutation, acht parallel 
geschaltete 4x4-S-Boxen S^^- SgS die parallel geschaltet sind 

und jeweils unterschiedliche vier Bits eines 64-Bit-Wertes 
gemafi einer nichtlinearen Abbildung auf vier unterschiedliche 

15 Bits eines Ausgangswertes abbilden, 108, eine 32-Bit-XOR- 
Verkniipfungseinrichtung 110, eine Rundenschlusselgenerie-- 
rungseinrichtung 112 und einen Schalter 114. Ein 32-Bit- 
Dateneingang der Permutationseinrichtung 106 ist mit dem 
Dateneingang 100 verbunden, um das verschlusselte 32-Bit-Wort 

20 zu erhalten. Die Permutationseinrichtung 106 permutiert die 
Bits des 32-Bit~Wortes am Permutationseingang und gibt das 
" permutierte 32-Bit-Wort an seinem Permutationsausgang aus, 
wobei die Permutation zu einer vorbestimmten Permutation P 
invers ist, was mit P""^ angezeigt wird. Das Ergebnis der 

25 Permutation gibt dieselbe als 32-Bit-Wert an die parallel 
geschalteten S-Boxen 108 aus. Jede S-Box S^^- Sg^ umfasst 

einen 4-Bit-Dateneingang und einen 4-Bit-Datenausgang, An 
jedem 4-Bit-Dateneingang der S-Boxen 108 liegen unterschied- 
liche vier Bits des 32-Bit-Wertes an, die von der Permutati- 

30 onseinrichtung 106 ausgegeben worden sind. Die S-Boxen 108 
bilden, wie bereits erwahnt, durch eine nichtlineare Abbil- 
dung, die fur jede der S-Boxen unterschiedlich sein kann und 
vorzugsweise auch ist, die vier Bitwerte an den Dateneingan- 
gen auf vier Bitwerte an den Datenausgangen ab. Die vier 

35 Bitwerte an den Datenausgangen werden wieder zu einem 32-Bit-' 
Wort zusammengef asst und einem Dateneingang der XOR- 
Verkniipfungseinrichtung 110 zugefuhrt. Die XOR- 
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VerknUpfungseinrichtung 110 umfasst einen weiteren Datenein- 
gang. Dieser ist mit einem Ausgang der Rundenschlusselgene- 
rierungseinrichtung 112 verbunden, deren Eingang wiederum mit 
dem Schliisseleingang 104 verbunden ist. Am Schlusseleingang 
5 104 liegt der wortindividuelle 64'-Bit-Schlussel an, wie er 
beispielsweise durch eine der Vorrichtungen von Fig. 4-7 
erhalten worden ist oder durch eine andere mogliche Ausges- 
taltung der Schlusselerzeugungseinrichtung 18. Die Runden- 
schliisselgenerierungseinrichtung 112 erzeugt basierend auf 
10 dem wortindividuellen Schliissel einen 32-Bit-Rundenschlussel. 
und gibt denselben an den zweiten Dateneingang der XOR- 
Verknupfungseinrichtung 110 aus. Die XOR- 

Verkniipfungseinrichtung 110 verkniipft bitweise den 32-Bit- 
Rundenschliissel und den 32-Bit-Ausgangswert von den S-Boxen 

15 108, um an einem Datenausgang derselben ein 32-bit- 

Rundenzwischenergebnis zu erhalten. Ein Schaltereingang des 
Schalters 114 ist mit dem Datenausgang der XOR- 
Verknupfungseinrichtung 110 verbunden. Der Schalter 114 
umfasst zwei Schalterausgange, namlich einen 32-Bit- 

20 Rundenf ortfuhrungsschalterausgang und einen 32-Bit- 

Rundenbeendigungsschalterausgang. Der Schalter 114 verbindet 
den Dateneingang mit dem Rundenf ortfuhrungsschalterausgang, 
so dass das verschltisselte Wort im Dateneingang 100 ein 
vorbestimmte Anzahl an Malen die Einrichtungen 106 - 110 

25 durchlaufen hat. Anzahl ist hoch genug, um eine ausreichende 
Sicherheit der VerschlOsselung sicherzustellen. Der Runden- 
f ortfahrungsschalterausgang ist mit dem Permutationseingang 
der Permutationseinrichtung 106 verbunden, wahrend der Run- 
denbeendigungsschalterausgang mit dem Datenausgang 102 ver- 

30 bunden ist, um nach der vorbestimmten Anzahl von Runden, die 
das verschlusselte Wort am Dateneingang 100 durchlaufen hat, 
das entschlusselte 32-Bit-Wort am Datenausgang 102 aus- 
zugeben, der uber den Datenbus 22 (Fig. 1) mit der CPU 10 
verbunden ist. Die Rundenschliisselgenerierungseinrichtung 112 

35 ist derart ausgebildet, dass sie fur jede Runde, die das 

verschlusselte Wort die Einrichtungen 106 - 110 durchlSuft, 
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einen unterschiedlichen Rundenschliissel aus derti wortindividu- 
ellen 64-Bit-Schlussel am Dateneingang 104 erzeugt. 

Nachdem im Vorhergehenden der Aufbau des Entschlusselungs- 
5 teils 16a beschrieben worden ist, wird im Folgenden kurz 

dessen Funktionsweise beschrieben. Das verschlusselte 32-Bit- 
Wort^ das von dem Speicher 12 ausgelesen worden ist, erreicht 
iiber den Dateneingang 100 die Permutationseinrichtung 106. 
Diese permutiert das verschlusselte Wort im Hinblick auf die 

10 Anordnung bzw. Bitpositionsverteilung seiner Bits gemalJ einer 
Permutationsvorschrift P"^. Daraufhin sorgen die parallel 
geschalteten S-Boxen 108 fiir eine nichtlineare Abbildung des 
permutierten 32-Bit-Wertes auf einen permutierten, abgebilde- 
ten 32-Bit-Wert. Dieser wird mit einem ersten Rundenschliis- 

15 sel, den die Rundenschlusselgenerierungseinrichtung 112 fur 
die erste Runde aus dem wortindividuellen Schlussel erzeugt 
hat, in der XOR-Verknupf ungseinrichtung 110 bitweise XOR- 
verknupft, wodurch das Rundenzwischenergebnis mit 32 Bits 
.erhalten wird. Dieses 32-Bit-Wort leitet der Schalter 114, 

20 falls mehr als eine Runde durchgefuhrt werden soli, wieder an 
den Eingang der Permutationseinrichtung 106 waiter, wodurch 
die Permutation, die nichtlineare Abbildung sowie die XOR-- 
Verkntipfung wiederholt werden, letztere jedoch mit einem neu 
ermittelten Rundenschliissel. Nach der letzten Runde schaltet 

25 der Schalter 114 auf den Rundenbeendigungsschalterausgang und 
gibt das Rundenzwischenergebnis als entschliisseltes 32-Bit- 
Wort aus- 

Der bezugnehmend auf Fig. 8 beschriebene Entschlusselungsteil 
30 der Ver-/Entschlusselungseinrichtung 16 wird immer dann 

aktiv, wenn die CPU verschlusselte Speicherinhalte vom Spei- 
cher 12 ladt. Fig. 9 zeigt ein Ausf uhrungsbeispiel fiir einen 
Verschliisselungsteil 16b der Ver-/Entschlusselungseinrichtung 
16, der in der Lage ist, unverschlOsselte Worter von der CPU 
35 10 an den Speicher 12 bei einem Speichervorgang derart in 
verschlusselte Worter zu verschliisseln, dass sie, wenn sie 
bei einem Ladevorgang wieder von der Ver-/Entschlusselungs- 
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einrichtung 16 mittels des Entschlusselungsteils 16a von Fig. 
8 entschlusselt warden, in ihrem ursprunglichen Zustand iiber 
den Datenbus 22 zur CPU 10 gelangen. 

5 Der Verschlusselungsteil 16b umfasst einen Dateneingang 120 
zum Empfang eines unverschlusselten, zu verschlusselnden 
Wortes von der CPU 10 sowie einen Datenausgang 122 zur Ausga- 
be eines verschlusselten Wortes zur Weiterleitung an den 
Speicher 12. Ferner umfasst der Verschlusselungsteil 16b 

10 einen Schlusseleingang 124 zum Empfang des wortindividuellen 
Schlussels. Dariiber hinaus umfasst der Verschlusselungsteil 
16b eine Permutationseinrichtung 126 zur Permutierung eines 
32-Bit-Wertes an einem Permutationseingang gemaJi einer Permu- 
tation P, die zu der Permutation invers ist, die durch die 

15 Permutationseinrichtung 106 durchgefuhrt wird, zu einem 
Permutationsergebnis an einem Permutationsausgang, acht 
parallel geschaltete 4x4-S-Boxen Si - Ss, 128, eine XOR- 
VerknQpf ungseinrichtung 130, eine Rundengenerierungseinrich- 
tung 132 und einen Schalter 134. 

20 

■ Die XOR-Verknupf ungseinrichtung 130 umfasst zwei 32-Bit- 
Dateneingange, von denen der eine mit dem Dateneingang 120 
der andere mit einem Datenausgang der Rundenschlusselgenerie- 
rungseinrichtung 132 verbunden ist. Ein 32-Bit-Datenausgang 
25 der XOR-Verkniipf ungseinrichtung 130 ist so mit den S-Boxen Si 

- Se verbunden, dass an den 4-Bit-Dateneingangen derselben 
jeweils vier unterschiedliche Bits des 32-Bit-Datenausgangs 
der XOR-Verkniipf ungseinrichtung 130 anliegen. Die S-Boxen Si 

- Se bilden 4-Bit-Werte an ihren Dateneingangen gemaii nicht- 
30 linearen Abbildungen auf 4-Bit'"Werte an ihren Datenausgangen 

ab, wobei die linearen Abbildungen zu denjenigen invers sind, 
die den S-Boxen von Fig. 8 bei 108 zugeordnet sind, d.h. 
Si(SiMx))= S^MSi {x))=x fur alle i = 1 ... 8 und flir alle 4- 

Bit-Werte x. 

35 

Die 4-Bit-Werte an den Datenausgangen der S-Boxen 128 warden 
als 32-Bit"Wert an den Permutationseingang der Permutations- 
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einrichtung 126 weitergeleitet . Der Permutationsausgang der 
Permutationseinrichtung. 126 ist mit einem Schaltereingang des 
Schalters 134 verbunden. Ein Rundenf ortf tAhrungsschalteraus- 
gang des Schalters 134 ist mit dem ersten Dateneingang der 
XOR~Verknupf ungseinrichtung 130 verbunden, wahrend ein Run- 
denbeendigungsschalterausgang des Schalters 134 mit dem 
Datenausgang 122 verbunden ist. Ein Eingang der Rundenschias- 
selgenerierungseinrichtung 132 ist mit dem Schlusseleingang 
124 verbunden. 

Nachdem im Vorhergehenden der Aufbau des Verschlusselungs- 
tells 16b beschrieben worden ist, wird im Folgenden dessen 
Funktionsweise beschrieben. Der Verschlusselungsteil 16b ist 
im wesentlichen invers zu dem Entschiasselungsteil 16a aufge- 
baut. Wenn ein unverschlusseltes Wort am Dateneingang 120 zu 
der XOR-Verknupfungseinrichtung 130 gelangt, verknupft die 
XOR-Verknupfungseinrichtung 130 dieses unverschlusselte Wort 
mit einem Rundenschliassel, den die Rundenschlusselgenerie- 
rungseinrichtung 132 aus dem wortindividuellen Schlussel 
erzeugt. Dieser Rundenschlussel ist derjenige Rundenschlus- 
sel, den der Entschliisselungsteil 16a bei seiner letzten 
Runde verwenden wird, urn das verschlusselte Wort wieder zu 
entschiasseln. Der sichergehende XOR~verknupfte 32-Bit-Wert 
wird durch die S-Boxen 128 abgebildet auf einen abgebildeten 
32-Bit-Wert. Diese Operation wird genau durch die S-Box- 
Abbildung der letzten Runde bei der Entschlusselung in dem 
Entschiasselungsteil 16a ruckgangig gemacht werden. Der 
abgebildete 32-Bit-Wert wird von der Permutationseinrichtung 
12 6 gemaft der Permutationsvorschrif t P permutiert, urn den 
permutierten 32-Bit-Wert zu erhalten, der das Rundenzwischen- 
ergebnis darstellt, Diese Permutation der ersten Runde bei 
der Verschlusselung wird bei der EntschlUsselung in der 
letzten Runde durch die Permutation P"^ in dem Entschiasse- 
lungsteil 16a rOckgangig gemacht werden. Solange weitere 
Runden erwUnscht sind, verbindet der Schalter 134 den Schal- 
tereingang rait dem Rundenf ortf uhrungsschalterausgang, ansons- 
ten mit dem Rundenbeendigungsschalterausgang, urn das 32-Bit- 
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Rundenzwischenergebnis als das verschlUsselte Wort uber den 
Datenausgang 122 an den Speicher 12 auszugeben. Die Runden- 
schiassel, die die Rundenschlasselgenerierungseinrichtung 132 
aus dem wortindividuellen Schlussel erzeugt, sind fur die 
jeweiligen Runden unterschiedlich und sind den Runden genau 
umgekehrt zugeordnet verglichen zu den Rundenschlusseln, die 
die Rundenschlusselgenerierungseinrichtung 112 fur die Ent- 
schlusselungsrunden erzeugt. Auf diese Weise ist sicherge- 
stellt, dass ein verschlusseltes Wort, wie es durch den 
Verschliisselungsteil 16b erzeugt wird, durch den Entschliisse- 
lungsteil 16a wieder zu einem entschltisselten Wort mit dem 
ursprunglichen Wert entschlQsselt wird. Der wortindividuelle 
Schlussel, der an den Schlusseleingangen 104 bzw. 124 an- 
liegt, ist bei Entschltisselung und Verschliisselung derselbe, 
da ja sowohl beim Lade- als auch Speicherzugrif f dieselbe 
eindeutige Adresse fur das jeweilige Wort auf dem Adressbus 
20 (Fig. 1) ausgegeben wird, so dass die Schlusselerzeugungs- 
einrichtung 18 sowohl beim Laden als auch beim Speichern 
denselben wortindividuellen Schlussel erzeugt. 

Im Hinblick auf die Fig. 8 und 9 wird noch darauf hingewie- 
sen, dass es freilich auch viele andere Moglichkeiten der 
Realisierung der Ver-/Entschlusselung in der Ver-/Entschlus- 
selungseinrichtung 16 gibt. Unter anderem kGnnten Telle der 
Komponenten in der Entschlusselungseinheit 16a auch in der 
Verschllisselungseinheit 16b verwendet werden, wenn entspre- 
chende Schalter je nach Ver- oder Entschliisselung fiir eine 
geeignete Verschaltung dieser Komponenten sorgen. Ferner 
konnte Verschlusselung und Entschlusselung auch aus Doppel- 
runden bestehen, die eine Teilrunde mit einer S-Box-Abbildung 
und eine Teilrunde mit einer inversen S"^-Box-Abbildung 
aufweisen, so dass alle Komponenten der Ver-/Entschlusse- 
lungsvorrichtung sowohl beim Entschlusseln als auch beim 
Verschlusseln verwendet werden k5nnten. 

Die vorhergehenden Ausfuhrungsbeispiele gingen davon aus, 
dass als wortindividueller Schlussel ein 64-BitSchlussel der 
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Ver-/Entschlasselungsvorrichtung zugefuhrt wird, die dann 
hierauf gemali der Ausfuhrungsbeispiele von Fig. 8 und 9 
Rundenschliissel erzeugt, die fur die einzelnen Verschlusse- 
lungs- bzw. Entschlusselungsrunden verwendet werden. Das 
5 nachfolgend bezugnehmend auf Fig. 10 beschriebene Ausfuh- 
rungsbeispiel unterscheidet sich von diesen Ausf uhrungsbei- 
spielen dadurch, dass als wortindividueller Schlussel eine 
Rundenschlusselfolge der Ver-/Entschlusselungseinrichtung 
•zugefUhrt wird, die aus Rundenschliisseln besteht, die fur die 
10 Worter einer Seite zwar gleich sind aber in unterschiedlicher 
Reihenfolge angeordnet sind. 

Fig. 10 zeigt ein Ausf uhrungsbeispiel fiir eine einen derarti-- 
gen wortindividuellen SchlUssel erzeugende Einrichtung 36''. 

15 Die Einrichtung 36' ' umfasst eine Rundenschlusselberechnungs- 
einrichtung 140, eine Nachschlagtabelle 142, eine Ausleseein- 
richtung 144 und eine Auswahlreihenf olgebestimiuungseinrich- 
tung 146. Die Rundenschiusselberechnungseinrichtung 140 
umfasst einen Dateneingang und einen Datenausgang, wobei am 

20 Dateneingang der 64-Bit-Seitenvorschlussel vorliegt, wie er 
entweder von der Vorschlusselberechnungseinrichtung 34 oder 
dem Zwischenspeicher 38 zugefuhrt wird (siehe Fig. 2a) . Die 
Rundenschltisselberechnungseinrichtung 140 berechnet auf der 
Basis des Seitenvorschlussels mehrere unterschiedliche Run- 

25 denschlussel . Die Anzahl der Rundenschlussel richtet sich 

nach der Anzahl der Runden der iterativen Blockchif f re, die 
durch die Ver-/Entschlusselungseinrichtung 16 implementiert 
wird, wie z.B. durch den Entschllisselungs- und Verschlusse- 
lungsteil der Fig. 8 und 9. Fur jede Runde tragt also die 

30 Rundenschliisselberechnungseinrichtung 140 einen unterschied- 
lichen Rundenschlussel in die Nachschlagtabelle 142 ein. Die 
Auswahlreihenf olgebestimmungseinrichtung 14 6 empfangt an 
einem Dateneingang die 4-Bit-Wortadresse der gerade auf dem 
• Adressbus 20 befindlichen eindeutigen Adresse 30. Je nach 

35 Wortadresse wShlt die Auswahlreihenf olgebestimmungseinrich- 
tung 14 6 eine vorbestimmte unterschiedliche Reihenfolge 
bezuglich der Rundenschlussel aus, mit der dieselben ausgele- 
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sen werden sollen. Diese Reihenfolge zeigt dieselbe der 
Ausleseeinrichtung 144 an, die darauf hin gemMii der . angezeig- 
ten Reihenfolge die 32-Bit-Langen-Rundenschlussel ausliest, 
urn dieselben in der angezeigten Reihenfolge als Rundenschlus- 
5 selfolge von 32-Bit-Rundenschlusseln an die Ver-/Entschlusse- 
lungseinrichtung 16 auszugeben. Unterschiedliche Worter mit 
unterschiedlichen Wortadressen in der selben Seite fiihren 
folglich auch bei selbem Wortinhalt zu einem unterschiedli- 
chen Chiffrat, da bei der iterativen Blockchiffre in der Ver- 
10 /Entschliisselungseinrichtung 16 die Rundenschlusself olge bei 
den einzelnen Runden nicht dieselbe ist. 

Anders ausgedriickt, wird gemaJJ dem Ausfuhrungsbeispiel von 
Fig. 10 von einer iterativen Blockchiffre bei der Ver- 

15 /Entschliisselungseinrichtung 16 ausgegangen, bei welcher in 

jeder Runde ein eigener Rundenschliissel angewandt wird. Diese 
Rundenschlussel stehen in Registern der Nachschlagtabelle 142 
bereit, nachdem sie vorab aus dem Seitenvorschlilssel berech- 
net worden sind. Die 4-Bit-Wortadresse bestimmt nun die 

20 Reihenfolge, in welcher die Rundenschlussel bei der iterati- 
ven Blockchiffre angewendet werden. 

Die im Vorhergehenden beschriebenen Ausf uhrungsbeispiele zur 
Generierung von Schlusseln fur die VerschlUsselung zu spei- 

25 chernder Daten und/oder EntschlUsselung von gespeicherter, 
gelesener Daten beim Zugriff auf einen Speicher liefern 
folglich eine adressabhSngige BereichsschlUsselgenerierung . 
Anstatt jedoch die Bereichsschlusselgenerierung fur jedes 
Wort gleichermaBen kompliziert durchzuf uhren, wird der Pro- 

30 zess der Bereichsschlusselgenerierung in zwei Teilprozesse 

auf gespalten, namlich einen relativ aufwendigen und langsamen 
Schritt und einen einfachen und schnellen Schritt^ der prak- 
tisch gratis ist. Nur der einfache Schritt muss fur jedes 
einzelne Wort ausgefUhrt werden, der aufwendige Schritt 

35 dagegen nur einmal fur mehrere Worte gleichzeitig. 
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Dabei ist das Festhalten an der adressabhangigen Bereichs- 
schliisselgenerierung mehr als nur sinnvoll: In einem Mikro- 
prozessor betr^gt die Wortgrofie heutzutage einige wenige 
Byte. Zum Beispiel 4 Byte bzw. 32 Bit. Eine kryptographische 
5 32-Bit-Blockchif f re macht aber keinen Sinn. Die Zahl 32 ist 
klein genug, so dass ein Unbefugter fur alle moglichen 2^^ » 
4,3 Milliarden Klartexte die zugehorigen Chiffretexte saimneln 
and in einer Art Codier-Lexikon auf listen konnte. Kryp- 
tographische Blockchiffre machen erst fiir Blockbreiten von 64 

10 Bit, besser fur l28 Bit, Sinn. Dieses Problem kann auch nicht 
durch Anwendung eines CBC-Modus, wie er in der Beschreibungs- 
einleitung beschrieben worden ist, auf eine ,,32-Bit- 
Blockchif f re'^ gelost werden. Die adressabhangige Bereichs- 
schliisselgenerierung Idst dieses Problem dagegen befriedi- 

15 gerid. Nun kann kein Codier-Lexikon obiger Art mehr erstellt 
werden. Denn das selbe 32-Bit-Klartext-Wort, das an zwei 
unterschiedlichen Speicheradressen vorkommt, wird mit ver- 
schiedenen Bereichsschlusseln verschlusselt . Damit werden die 
zugehorigen Chiffretexte ebenfalls verschieden sein, auch 

20 wenn der zugrundeliegende Klartext derselbe ist. 

Die Bereichsschlusselgenerierung zum Zugriff auf einen Spei- 
cher mit verschlusseltem Inhalt gem^ft obiger Ausf uhrungsbei- 
spiele bestand darin, aus dem geheimen GeneralschlUssel und 

25 der Seitenadresse bzw. Pageadresse einen pageweit bzw. sei- 
tenweit giiltigen Vorschlussel zu generieren. Das ist der 
aufwendige Schritt, der nur einmal pro Page bzw. Seite durch- 
geftihrt werden muss. Dann wird aus dem Vorschlussel und der 
Wortadresse auf einfache Weise ein wortindividueiler Schlus- 

30 sel hergeleitet. Die Verschlusselung des Wortes erfolgt nun 
rait dem wortindividuellen Schlussel. 

Die sich ergebenden Vorteile sind die Folgenden: Die Berech- 
nung des Pageschlussels muss bestimmte kryptographische 
35 Kriterien erfullen und ist entsprechend aufwendig- Der Pa- 
geschliissel wird entweder in einer eigenen Hardwareeinheit 
berechnet oder es wird die Verschlusselungseinheit 16 auch 
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zur Berechnung des Pageschliissels genutzt. Da nun die Berech- 
nung des Pageschlussels seltener erforderlich ist (nur einmal 
pro Page) kann aus diesem Grund die Hardwareeinheit fur die 
Pageschlusselgenerierung kleiner gestaltet werden. Im anderen 
5 Fall, bei dem die Verschlusselungshardware zur Pageschlussel- 
generierung mitbenutzt wird, steigt in. Folge der seltener 
gewordenen Beanspruchung der Verschlusselungshardware die 
Verschliisselungsrate . 

10 Bezugnehmend auf obige AusfUhrungsbeispiele wird noch darauf 
hingewiesen, dass beispielsweise ohne weiteres die XOR-Gatter 
durch NXOR-Gatter ersetzt werden kbnnten. Die im vorhergehen- 
den beschriebene vorubergehende Speicherung der Seiten- 
vorschlussel mit Verdrangungsstrategie kann auch durch eine 

15 Speicherung in einem ausreichend groften fliichtigen Speicher 
ohne Verdrangungsstrategie. ersetzt werden, so dass die Sei- 
tenvorschlussel bei fehlender Energiezuf uhr automatisch 
geloscht wurden. Ferner konnte vor der Generierung des Sei- 
tenvorschlussels die Seitenadresse auch anderen Operationen 

20 unterzogen werden als die Expansion von Fig. 3. Ferner muss 
die vorliegende Erfindung nicht basierend auf den kleinsten 
adressierbaren Einheiten des direkt adressierbaren Speichers 
arbeiten, sondern es konnen auch grofiere adressierbare Ein- 
heiten gewShlt werden. Ferner konnte die Abbildung der Sei- 

25 tenadressen auf die Seitenvorschlussel jegliche Abbildung 
sein, vorzugsweise natOrlich eine nicht lineare Abbildung. 

Insbesondere wird darauf hingewiesen, dass abhangig von den 
Gegebenheiten das erf indungsgemaiie Schema auch in Software 

30 implementiert sein kann. Die Implementation kann auf einem 
digitalen Speichermedium, insbesondere eiher Diskette oder 
einer CD mit elektronisch auslesbaren Steuersignalen erfol- 
gen^ die so mit einem programmierbaren Computersystem zusam- 
menwirken k5nnen, dass das entsprechende Verfahren ausgefuhrt 

35 wird. Allgemein besteht die Erfindung somit auch in einem 
Computerprogrammprodukt mit auf einem maschinenlesbaren 
TrSger gespeicherten Programmcode zur DurchfUhrung des erfin- 
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dungsgemaJien Verfahrens, wenn das Compute rprograinmprodukt auf 
einem Rechner ablauft. In anderen Worten ausgedruckt kann die 
Erfindung somit als ein Computerprogramm mit einem Programm- 
code 2ur Durchf ilhrung des Verfahrens realisiert werden, wenn 
das Computerprogramm auf einem Computer ablauft. 
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Patentanspriiche 

1. Vorrichtung zur Erzeugung eines individuellen Schlussels 
zum Zugriff auf eine vorbestimmte adressierbare Einheit (12b) 

5 . eines in adressierbaren Einheiten {12b) gegliederten Spei- 

chers (12), wobei die adressierbaren Einheiten (12b) gruppen- 
weise zu Seiten (12a) zusammengef asst sind, wobei der vorbe- 
stimmten adressierbaren Einheit eine eindeutige Adresse (30) 
zugeordnet ist^ die sich aus einer Seitenadresse (30a), die 
10 die Seite angibt, der die adressierbare Einheit angehort, und 
einer Einheitsadresse (30b), die die adressierbare Einheit 
unter den iibrigen adressierbaren Einheiten, die der Seite 
angehoren, identif iziert, zusammensetzt , mit folgenden Merk- 
malen: 

15 

eine Einrichtung (34) zum Berechnen eines Seitenvorschlussels 
auf der Basis der Seitenadresse (30a) , und 

einer Einrichtung (36) zum Ermitteln des individuellen 
20 Schlussels auf der Basis des Seitenvorschlussels und der 
Wortadresse (30b) . 

2. Vorrichtung gemali Anspruch 1, bei der die Einrichtung 
(34) zum Berechnen des Seitenvorschlussels mehr Chipflache 

25 und/oder mehr Verarbeitungslauf zeitdauer aufweist als die 

Einrichtung (36) zum Ermitteln des individuellen Schlussels. 

3. Vorrichtung gemaB Anspruch 1 oder 2, bei der die Einrich- 
tung (34) zum Berechnen -eine Einrichtung (56) zum Chiffrieren 

30 der Seitenadresse oder eines aus derselben hergeleiteten 
Datenblocks mit einem Generalschlussel aufweist, urn den 
Seitenvorschlussel zu halten. 

4. Vorrichtung gemSli Anspruch 3, bei der die Einrichtung 
35 (56) zum Chiffrieren eine Einrichtung (54) zum Expandieren 

der Seitenadresse (30a) aufweist, urn einen expandierten 
Datenblock (58) zu erhalten, durch Abbilden jedes Bits der 
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Seitenadresse (30a) auf zumindest ein unterschiedliches Bit 
des expandierten Datenblocks (58) und Abbilden zumindest 
eines Bits der Seitenadresse (30a) auf zumindest zwei Bits 
des expandierten Datenblocks (58), und bei der die Einrich- 
5 tung zum Chiffrieren angepasst ist, um den expandierten 
Datenblock (58) zu chiffrieren. 

5. Vorrichtung gemali einem der Anspruche 1 bis 4, bei der 
die Einrichtung (36) zum Ermitteln des individuellen Schlus- 
•10 sels eine Einrichtung (60a - 60e) zur bitweisen XOR-VerknUp- 
fung von Bits der Wortadresse (30b) mit vorbestimmten Bits 
des Seitenvorschiassels aufweist, um den individuellen 
Schlussel 2u erhalten, 

15 6. Vorrichtung gemaB einem der Anspruche 1 bis 4, bei der 

die Einrichtung (36) zum Ermitteln des individuellen SchlUs- 
sels ferner folgende Merkmale aufweist: 

eine Nachschlagtabelle (70) mit Maskierungsvektoren, von 
20 denen jeder einer moglichen Wortadresse zugeordnet ist; 

einer Einrichtung (74) zum Nachschlagen in der Nachschlagta- 
belle mit der Wortadresse als Index, um den zugeordneten 
Maskierungsvektor zu erhalten; und 

25 

einer Einrichtung (72) zur bitweisen XOR-Verknupf ung des 
Maskierungsvektors und des Seitenvorschlussels^ um den indi- 
viduellen Schlussel zu erhalten, 

30 .7. Vorrichtung gemaB einem der Anspruche 1 bis 4, bei der 
die Einrichtung zum Ermitteln des individuellen Schlussels 
eine steuerbare Permutationseinrichtung (82) zum Permutiereh 
von Bits der Seitenadresse gemali einer Permutationsvor- 
sehrift, die von der Wortadresse abh^ngt, um den individuel- 

35 len Schlussel zu erhalten, aufweist. 



wo 2005/043396 PCT/EP2004/009054 

39 



8. Vorrichtung gemSft einem der AnsprQche 1 bis 4, bei der 
die Einrichtung (36) zuin Ermitteln des individuellen Schlus- 
sels eine Auswahleinrichtung (90) zum Auswahlen von Bits der 
Seitenadresse gemaJi einer Auswahlvorschrif t, die von der 

5 Wortadresse abhangt, urn den individuellen Schlussel zu erhal- 
ten, aufweist. 

9. Vorrichtung gemaft einem der Anspriiche 1 bis A, bei der 
die Einrichtung (36) zum Ermitteln des individuellen Schlus- 

10 sels folgendes Merkmal aufweist: 

eine Einrichtung (140) zum Herleiten mehrerer Rundenschlussel 
aus dem Seitenvorschlussel; und 

15 eine Einrichtung (144, 146) zum Definieren einer Reihenfolge 
unter den Rundenschlusseln, um eine Folge der Rundenschlussel 
zu erhalten, wobei die Reihenfolge von der Wortadresse ab- 
hangt, und die Folge den individuellen Schlussel darstellt. 

20 10. Vorrichtung gemafi einem der vorhergehenden Anspruche, 
die ferner folgende Merkmale aufweist: 

eine Einrichtung (38) zum Speichern des berechneten Seiten- 
vorschlUssels ; und 

25 

eine Einrichtung zum Uberpriifen, ob bei einem nachsten 
Zugriff auf eine weitere vorbestimmte Einheit, der eine 
weitere eindeutige Adresse zugeordnet ist, in dem temporaren 
Speicher (38) ein bereits berechneter Seitenvorschlussel 

30 existiert, der basierend auf einer Seitenadresse einer ein- 
deutigen Adresse berechnet worden ist, die zu der Seitenad- 
resse der weiteren eindeutigen Adresse identisch ist, und, 
falls dies der Fall ist, zum Weiterleiten, unter Umgehung der 
Einrichtung (34) zum Berechnen, des bereits berechneten 

35 Seitenvorschlussels an die Einrichtung (36) zum Ermitteln 
und, falls dies nicht der Fall ist, zum Weiterleiten der 
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Seitenadresse der weiteren eindeutigen Adresse an die Ein- 
richtung (34) zuru Berechnen. 

11. System zum Zugriff auf eine vorbestimmte adressierbare 
5 Einheit eines in adressierbaren Einheiten gegliederten Spei- 

chers (12), wobei die adressierbaren Einheiten (12b) gruppen- 
weise zu Seiten (12a) zusammengef asst sind, wobei der vorbe- 
stimiuten adressierbaren Einheit eine eindeutige Adresse (30) 
zugeordnet ist, die sich aus einer Seitenadresse (30a), die 
10 die Seite angibt, der die adressierbare Einheit angeh5rt, und 
einer Einheitsadresse (30b), die die adressierbare Einheit 
unter den ubrigen adressierbaren Einheiten, die der Seite 
angehoren, identif iziert, zusaimnensetzt, mit folgenden Merk- 
malen: 

15 

einer Vorrichtung zur Erzeugung gemali einem der Anspruche 1 
bis 10; und 

einer Vorrichtung zum Entschlusseln eines verschlusselten 
20 Speicherinhalts in der vorbestimmten adressierbaren Einheit 
auf der Basis des individuellen Schlvissels. 

12. System zum Zugriff auf eine vorbestimmte adressierbare 
Einheit eines in adressierbaren Einheiten gegliederten Spei- 

25 chers (12), wobei die adressierbaren Einheiten (12b) gruppen- 
weise zu Seiten (12a) zusammengef asst sind, wobei der vorbe- 
stimmten adressierbaren Einheit eine eindeutige Adresse (30) 
zugeordnet ist, die sich aus einer Seitenadresse (30a), die 
die Seite angibt, der die adressierbare Einheit angehort, und 

30 einer Einheitsadresse (30b), die die adressierbare Einheit 
unter den ubrigen adressierbaren Einheiten, die der Seite 
angehoren, identif iziert , zusammensetzt , mit folgenden Merk- 
malen: 

35 einer Vorrichtung zur Erzeugung gemali einem der Anspruche 1 
bis 10; und 
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eine Vorrichtung zum Verschlusseln zu speichernder Daten auf 
der Basis des individuellen SchlOssels und Schreiben der 
verschlvisselten, zu schreibenden Daten in die vorbestimmte 
adressierbare Einheit. 

5 

13. Verfahren zur Erzeugung eines individuellen Schlussels 
zum Zugriff auf eine vorbestimmte adressierbare Einheit {12b) 
•eines in adressierbaren Einheiten (12b) gegliederten Spei- 
chers (12), wobei die adressierbaren Einheiten (12b) gruppen- 

10 weise zu Seiten (12a) zusaimnengef asst sind, wobei der vorbe- 
stiinmten adressierbaren Einheit eine eindeutige Adresse (30) 
zugeordnet ist, die sich aus einer Seitenadresse (30a) , die 
die Seite angibt, der die adressierbare Einheit angehort, und 
einer Einheitsadresse (30b)/ die die adressierbare Einheit 

15 unter den iibrigen adressierbaren Einheiten, die der Seite 
angehbren, identif iziert, zusammensetzt, mit folgenden 
Schritten: 

Berechnen eines Seitenvorschlussels auf der Basis der Seiten- 
20 adresse (30a)/ und 

Ermitteln des individuellen SchlUssels auf der Basis des 
Seitenvorschlussels und der Wortadresse (30b) . 

25 14. Computer- Progranun mit einem Programmcode zur Durchfuhrung 
des Verfahrens nach Anspruch 13, wenn das Computer- Programm 
auf einem Computer ablauft. 



30 
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